È stata scoperta una nuova versione del malware XLoader, uno stealer di informazioni di tipo botnet che colpisce i sistemi Windows e macOS. La particolarità di questa versione, secondo quanto scoperto dai ricercatori di sicurezza di Check Point, è che sfrutta la teoria della probabilità per nascondere i propri server C2 (command-and-control), rendendo il malware particolarmente elusivo.
XLoader si era già fatta notare per le capacità "mimetiche", infatti già dalla versione 2.3 i server C2 venivano camuffati nascondendo il nome di dominio reale tramite una configurazione composta da 63 "esche", ovvero nomi dominio fasulli creati per disperdere le tracce. Ma con le nuove versioni, sembra che il malware sia in grado di sovrascrivere alcuni dei domini scelti casualmente nella propria lista di configurazione. Ciò avviene a ogni tentativo di comunicazione e riguarda 8 domini su 64, sempre scelti con criterio casuale. La logica dietro questa funzione è che, se il dominio C2 reale è presente nella seconda parte dell'elenco, l'accesso avviene in ogni ciclo a intervalli di circa 80-90 secondi. Se invece appare nella prima parte dell'elenco, verrà sovrascritto da un altro nome dominio casuale.
In questo modo, spiegano i ricercatori, il malware sfrutta la legge dei grandi numeri: uno degli 8 domini sovrascritti potrebbe essere quello reale relativo al server C2, con una probabilità di accesso al ciclo successivo pari a 7/64 o 1/8 a seconda della posizione del dominio C2 fasullo. A fronte di un numero sufficiente di tentativi, dunque, aumenta la probabilità di accedere al server reale.
Dunque i veri server command-and-control restano abbastanza al sicuro dagli analisti, senza impattare sulle operazioni del malware. C'è da sottolineare che questo metodo di offuscamento, comunque, è presente solo nella versione a 32 bit del payload, poiché i sistemi a 32 bit sono piuttosto comuni nei sandbox ospitati su macchine virtuali (proprio come quelli usati dagli analisti di sicurezza), mentre nella versione a 64 bit questa funzionalità è rimossa e XLoader contatta il vero dominio C2 ogni volta.
